Certifikaty pro ruzne sluzby a vlastni CA
Michal Dobes
dobes na tes.eu
Neděle Prosinec 30 16:35:22 CET 2007
Pavel Kankovsky napsal(a):
>
> Mohl byste udělat to, že budete mít kořenovou CA, jejíž privátní klíč bude
> většinou někde v trezoru, která své pravomoce deleguje na podřízenou CA,
> která bude vydávat certifikáty pro koncové subjekty -- a svůj privátní
> klíč bude mít někde víc po ruce.
Vybudovat si hierarchickou strukturu CA je dobrý postup. Jenom je
to občas kanón na vrabce v případě, že všechny CA bude obsluhovat jedna
osoba pro firmu o pěti lidech, ale i tak to má svá pozitiva pro oddělení
rolí a některé bezpečnostní prvky.
Akorát, pokud jsem postřehl správně, tu tazatel mával i OpenVPN, a to
je zrovna jedna z aplikací, která se nemá s hierarchickou strukturou moc
ráda, nefungují pak korektně CRL, bere se v potaz jen ten koncový, čímž
to dost ztrácí kouzlo. Sice má OpenVPN nějakou dobu už v TODO,
že s tím něco udělají, ale zatím se tak nestalo. :-(
M.
Další informace o konferenci Linux